Załącznik nr 2 do Zarządzenia Nr 78 /2015 Wójta Gminy Wągrowiec z dnia 30 czerwca 2015 r. INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Gminy Wągrowiec 1. 1. Postanowienia ogólne. Niniejsza Instrukcja reguluje sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych w Urzędzie Gminy Wągrowiec, z uwzględnieniem wymogów określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych, oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych (Dz. U. Nr 100, poz. 1024). 2. Celem Instrukcji jest określenie procedur bezpiecznego przetwarzania danych osobowych w systemach informatycznych Urzędu Gminy Wągrowiec. 3. Zapisy Instrukcji dotyczą ochrony danych osobowych, przetwarzanych w systemach informatycznych w budynku Urzędu Gminy Wągrowiec przy ul. Cysterskiej 22, do których dostęp zapewnia lokalna sieć komputerowa, oraz w urządzeniach przenośnych stanowiących własność Urzędu. 4. Nadzór nad przestrzeganiem zasad ochrony opisanych w niniejszej instrukcji pełnią: Administrator Bezpieczeństwa Informacji i Administrator Systemu Informatycznego. 5. Pracownicy upoważnieni do przetwarzania danych osobowych w systemie informatycznym, zobowiązani są do zapoznania się z treścią niniejszej Instrukcji i jej przestrzegania. 6. Fakt zapoznania się z Instrukcją pracownik potwierdza własnoręcznym podpisem w stosownym oświadczeniu. 2. Definicje. Przez użyte w niniejszym dokumencie określenia, należy rozumieć: 1) Sieć lokalna - połączenie komputerów pracujących w Urzędzie w celu wymiany danych dla własnych potrzeb, przy wykorzystaniu urządzeń telekomunikacyjnych,
2 2) Sieć rozległa (publiczna) sieć telekomunikacyjna nie będąca siecią wewnętrzną, służąca do świadczenia usług telekomunikacyjnych w rozumieniu ustawy Prawo telekomunikacyjne. 3) Wykaz zbiorów danych osobowych wykaz zarejestrowanych jak i nie podlegających rejestracji zborów danych osobowych, przetwarzanych Urzędzie. 3. 1. Procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemie informatycznym. Administratorem systemów informatycznych, będących własnością Urzędu jest Administrator Systemów Informatycznych. 2. Do obsługi programu komputerowego, oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych, dostęp ma wyłącznie użytkownik, posiadający pisemne upoważnienie Administratora Danych Osobowych. 3. Uprawnienia wygasają z chwilą rozwiązania stosunku pracy lub pisemnego cofnięcia uprawnień. 4. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia, również po ustaniu zatrudnienia. 5. Administrator Systemów Informatycznych niezwłocznie rejestruje i wyrejestrowuje użytkowników w systemie informatycznym, którzy uzyskują lub tracą prawo dostępu do danych. 6. Administrator Systemów Informatycznych przydziela użytkownikowi identyfikator, oraz pierwsze hasło. Identyfikator osoby, która utraciła uprawnienia nie może być przydzielony innej osobie. 7. Hasło użytkownika jest składowane w systemie w bezpieczny sposób. 8. Hasło użytkownika nie jest pokazywane na ekranie lub wydrukach w postaci otwartego tekstu. 9. Odrębny identyfikator dla każdego użytkownika, rejestrowany jest w przypadku dostępu do danych przetwarzanych w systemie informatycznym większej liczby użytkowników. 10. Dostęp do danych możliwy jest wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia za pomocą hasła lub poprawnej weryfikacji karty SMART.
3 11. Administrator Systemów Informatycznych w sytuacji awaryjnej może zmienić hasło poprzez usunięcie obecnego, zapomnianego przez użytkownika hasła i nadanie nowego hasła, wymagającego zmiany w trakcie pierwszego logowania. 4. 1. Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem. Użytkownikowi upoważnionemu do przetwarzania danych, hasło przekazuje ustnie Administratorowi Systemów informatycznych. Użytkownik nie może udostępniać identyfikatora, hasła i stanowiska roboczego innej osobie. 2. Hasło musi się składać z co najmniej z 6 znaków, a w przypadku połączenia systemu służącego do przetwarzania danych z siecią publiczną, z co najmniej 8 znaków. Należy stosować hasła zawierające kombinacje liter, cyfr i znaków specjalnych. Zakazuje się stosowanie haseł zawierających nazwę użytkownika, własnego imienia i nazwiska, ogólno dostępnych informacji o użytkowniku, oraz przewidywalnych sekwencji znaków z klawiatury. 3. Użytkownik obowiązany jest zmienić hasło niezwłocznie po przekazaniu, a następnie nie rzadziej, niż co 30 dni. Hasło nie może być zapisane w miejscu dostępnym dla osób nieuprawnionych. 4. Hasło użytkownika jest jego własnością i zna je wyłącznie dany użytkownik. Zabronione jest przekazywanie hasła innym osobom. 5. W systemach operacyjnych i aplikacjach, do których ze względów bezpieczeństwa, oraz w celu zagwarantowania autoryzowanego dostępu stosowane są elektroniczne karty SMART, ich uruchomienie następuje po poprawnym zweryfikowaniu i odczytaniu imiennej karty i podaniu hasła PIN. 6. Niedopuszczalne jest podglądanie haseł wprowadzanych do systemu przez innych użytkowników. Jeżeli użytkownik w pobliżu zaczyna wprowadzać hasło należy odwrócić wzrok. 5. 1. Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu. Bezpośredni dostęp do danych, w zależności od stosowanego zabezpieczenia, użytkownik ma po poprawnym zweryfikowaniu karty dostępu lub podaniu identyfikatora i właściwego hasła. Użytkownik nie może udostępniać karty dostępu, identyfikatora, hasła i stanowiska roboczego osobom nieuprawnionym.
4 2. W przypadku użytkowników nie będących pracownikami Urzędu Gminy Wągrowiec (stażyści, praktykanci), Kierownik Referatu nadzorującego pracę określa dokładny opis niezbędnych uprawnień. Po uzyskaniu upoważnienia od Administratora Danych Osobowych i przeszkoleniu użytkownika, Administrator Systemów Informatycznych tworzy login i hasło umożliwiające samodzielną pracę ze zbiorami w określonym zakresie i czasie. 3. Użytkownik ma obowiązek zamykania systemu, programu po zakończeniu pracy. Stanowisko komputerowe z uruchomionym systemem nie może pozostawać bez kontroli pracującego na nim użytkownika. 4. Użytkownik zobowiązany jest do takiego usytuowania monitora, aby uniemożliwić przypadkowy wgląd do danych osobom nieuprawnionym. 5. W celu zabezpieczenia danych przed wglądem osób nieuprawnionych w przypadku tymczasowego zaprzestania pracy na stanowiskach, na których przetwarzane są dane osobowe, zainstalowana zostać musi funkcja wygaszania ekranu aktywująca się po kilku minutach bezczynności. 6. Zabrania się: 1) wykorzystywania sieci komputerowej do celów innych niż wyznaczone przez Administratora Danych Osobowych, 2) samowolnego instalowania i używania programów komputerowych (posiadających lub nie posiadających licencji), 3) trwałego lub czasowego kopiowania programów komputerowych w całości lub części, jakimikolwiek środkami i w jakiejkolwiek formie, 4) rozpowszechniania programów komputerowych lub ich kopii wśród osób postronnych, 5) przenoszenia programów komputerowych z własnego stanowiska roboczego na inne, 6) tłumaczenia, przystosowywania, zmiany układu, lub dokonywania jakichkolwiek innych zmian w programie komputerowym, 7) używania nielegalnych oprogramowań, 8) udostępniania osobom postronnym programów komputerowych, przez możliwość dostępu do zasobów sieci, 9) używania nośników danych (FDD, HDD, urządzenia mobilne: Pen Drive - USB, Karty Flash), które można podejrzewać o zainfekowanie wirusem.
5 7. Użytkownik ma obowiązek powiadomić Administratora Bezpieczeństwa Informacji lub upoważnioną przez niego osobę oraz Administratora Systemów Informatycznych o: 1) podejrzeniach naruszenia bezpieczeństwa systemu (brak możliwości zalogowania się użytkownika na jego konto), 2) stwierdzeniu fizycznej ingerencji w przetwarzane dane lub użytkowane narzędzia programowe. 6. 1. Procedury tworzenia kopii zapasowych zbiorów oraz kopii zapasowych systemu informatycznego używanych do ich przetwarzania oraz sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe, i kopii zapasowych. Administrator Systemów Informatycznych wykonuje i nadzoruje regularne wykonywanie kopii zapasowych danych przetwarzanych w systemach dla wszystkich baz SQL owych i bazy z programów działających pod DOS em. 2. Kopie wykonywane są przy pomocy aktualnie licencjonowanych oprogramowań, służących do zarchiwizowania danych na nośnikach zewnętrznych, oraz poprzez wykonywanie kopii w urządzeniach obsługujących aktualne standardy zapisu danych. 3. Kopie wykonywane są na nośniki: CD, DVD, FDD, HDD. 4. Nośniki z kopiami zapasowymi przechowywane są w pomieszczeniu zabezpieczonym systemem alarmowym w bezpiecznej metalowej szafie. 5. Wykonywanie kopii bezpieczeństwa odbywa się każdego dnia w porze zmniejszonego obciążenia serwerów. Następnie raz na tydzień wykonywana jest kopia bezpieczeństwa tygodniowa, archiwizowana na nośnik zewnętrzny (CD, DVD, HDD zewnętrzny). Kopie: codzienna, tygodniowa, miesięczna, kwartalna i roczna, są kopiami całościowymi. 6. Administrator Systemów Informatycznych okresowo sprawdza dalszą przydatności nośników z kopiami zapasowym; nośniki nieprzydatne pozbawia zapisu w sposób uniemożliwiający ich odczytanie lub likwiduje poprzez fizyczne zniszczenie Z czynności tych sporządza notatki służbowe, które przechowywane są w pomieszczeniu z serwerem. 7. 1. Sposób zabezpieczenia systemu informatycznego. Sieć komputerowa jest zabezpieczona przed nieuprawnionym dostępem oprogramowania jak
6 i ingerencji z zewnątrz przez specjalistyczne elementy softwarowe jak i hardwarowe. Oprogramowanie antywirusowe, firewall, ustawione reguły filtrowania, Fortigate firmy Fortinet. 2. Na stacjach roboczych zainstalowane jest specjalistyczne oprogramowanie antywirusowe mające na celu wychwycenie i zatrzymanie próby infekcji z urządzeń podłączanych do komputera przez użytkownika. 3. Ochronę przed awariami zasilania, oraz zakłóceniami w sieci energetycznej serwerów i stacji roboczych zapewnia zasilacz centralny UPS. 4. W celu zminimalizowania możliwości zainstalowania się szkodliwego oprogramowania podejmowane są czynności profilaktyczne: 1) okresowe sprawdzanie sprawności i skuteczności sprzętu komputerowego zainstalowanego w tutejszym Urzędzie, mające na celu usunięcie nieprawidłowości lub oprogramowania mogącego przyczynić się do niestabilności systemu na poszczególnych stacjach roboczych, 2) stosowanie narzędzi programowych poprzez instalowanie na każdej stacji roboczej (komputerze) z dostępem do aplikacji i danych osobowych systemu antywirusowego. System antywirusowy konfiguruje się w sposób umożliwiający jego samoczynne uruchomienie się i rozpoczęcie nieprzerwanej ochrony przez cały czas pracy tej stacji począwszy od momentu jej włączenia. Instalacja, konfiguracja, uruchomienie i ochrona antywirusowa odbywa się bez wiedzy użytkownika (w tle jego pracy). 5. Osobą odpowiedzialną za zarządzanie oprogramowaniem jest Administrator Systemów Informatycznych, który dokonuje kontroli zastosowanych zabezpieczeń, oraz analizuje ich adekwatność i wskazuje nowocześniejsze środki zabezpieczeń. 6. Administrator Systemów Informatycznych zabiega, aby systemy informatyczne przetwarzające dane osobowe, automatycznie odnotowywały, po zatwierdzeniu przez użytkownika operacji wprowadzania danych, dla każdej osoby, której dane osobowe są przetwarzane: 1) daty pierwszego wprowadzenia, 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, 3) źródła danych, w przypadku zbierania danych nie od osoby, której one dotyczą, informacji o odbiorcach z wyłączeniem zbiorów jawnych, 4) sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie powyższe informacje.
7 7. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników służących do przetwarzania danych: 1) prace dotyczące przeglądów, konserwacji i napraw wymagające zaangażowania autoryzowanych firm zewnętrznych, są wykonywane przez uprawnionych przedstawicieli tych firm serwisantów, nadzorem Administratora Systemów informatycznych bez możliwości dostępu do danych osobowych, 2) urządzenia komputerowe, dyski twarde lub inne informatyczne nośniki danych, przeznaczone do naprawy, pozbawia się przed naprawą zapisu danych osobowych w sposób trwały lub naprawia się je pod nadzorem Administratora Systemów Informatycznych lub osoby przez niego upoważnionej. pod 8. 1. Zasady postępowania z komputerami przenośnymi. Przy przetwarzaniu danych osobowych na komputerach przenośnych obowiązują procedury określone w niniejszej instrukcji, dotyczące pracy na komputerach stacjonarnych. 2. Użytkownikom powierza się komputery przenośne na podstawie protokołu powierzenia. Protokół przygotowuje Administrator Systemów Informatycznych. 3. Użytkownicy, którym zostały powierzone komputery przenośne, powinni chronić je przed uszkodzeniem, kradzieżą i dostępem osób postronnych, szczególną ostrożność należy zachować podczas transportu. 4. Obowiązuje zakaz używania komputerów przenośnych przez osoby inne, niż użytkownicy, którym zostały one powierzone. 5. Użytkownicy przetwarzający dane osobowe na komputerach przenośnych obowiązani są do systematycznego wprowadzania tych danych w określone miejsce na serwerze Administratora Danych Osobowych, a następnie do trwałego usuwania ich z pamięci powierzonych komputerów przenośnych. 9. 1. Przechowywanie elektronicznych nośników informacji zawierających dane osobowe oraz wydruków. Danych osobowych w postaci elektronicznej zapisane na dyskietkach, dyskach magnetooptycznych, dyskach twardych nie można wynosić poza siedzibę Urzędu. 2. Wymienne elektroniczne nośniki i informacji przechowywać należy wyłącznie w zamykanych szafach biurowych w pomieszczeniach stanowiących
8 obszar przetwarzania danych określony w Polityce Bezpieczeństwa Danych Osobowych Urzędu Gminy Wągrowiec. 3. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do przekazania innemu podmiotowi, nieuprawnionemu do otrzymania danych osobowych pozbawia się wcześniej zapisu tych danych. 4. Urządzenia, dyski lub inne informatyczne nośniki zawierające dane osobowe, przeznaczone do likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku, gdy nie jest to możliwe uszkadza w sposób uniemożliwiający ich odczytanie. 5. Wydruki zawierające dane osobowe przechowuje się w miejscu i w sposób uniemożliwiającym dostęp osobom nieupoważnionym, a po upływie ich przydatności, niszczone są w sposób uniemożliwiający ich odczytanie. 10. 1. Postanowienia końcowe. W sprawach nieokreślonych niniejszą Instrukcją należy stosować instrukcje obsługi i zalecenia producentów aktualnie wykorzystywanych urządzeń i programów. 2. Niezastosowanie się do procedur określonych w niniejszej instrukcji przez użytkowników upoważnionych do przetwarzania danych osobowych, może być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez wypowiedzenia, na podstawie art.52 Kodeksu Pracy. 3. Zapisy niniejszej instrukcji, dotyczące zabezpieczeń, wykonywania kopii zapasowych i ich przechowywania, maja również zastosowanie do systemów teleinformatycznych, objętych siecią wewnętrzną Urzędu, które nie służą do przetwarzaniu danych osobowych. 4. Administrator Systemów Informatycznych raz do roku przeprowadza analizę ryzyka dla systemów teleinformatycznych, a także w przypadku istotnej zmiany warunków funkcjonowania systemu teleinformatycznego. 5. Wzór protokołu powierzenia komputera przenośnego do wyłącznego użytkowania pracownikowi Urzędu stanowi załącznik do Instrukcji. Wójt Gminy /-/ Przemysław Majchrzak